Gewährleistung einer sicheren Verwaltung
Ein Konzept für SAP-Berechtigungen beugt Systemfehlern und DSGVO-Verstößen vor
EARLYWATCH: Der Benutzer EARLYWATCH existiert nur im Mandanten 066, denn er dient der Fernwartung durch den SAP-Support. EARLYWATCH hat nur Anzeigerechte für Performance- und Monitoring-Funktionen. Schutzmaßnahmen: Sperren Sie den Benutzer EARLYWATCH, und schalten Sie ihn nur frei, wenn er durch den SAP-Support angefragt wird. Ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Wir raten Ihnen von der Nutzung des selbst gesetzten Passworts bei einem Self-Service ab, da ein generiertes Passwort sicherer ist. Die Generierung des Passworts erfolgt in Abhängigkeit von den Passwortregeln; dabei werden zuerst die Vorgaben in der dem Benutzer zugewiesenen Sicherheitsrichtlinie ausgewertet. Falls dem Benutzer keine Sicherheitsrichtlinie zugewiesen wurde, berücksichtigt das System die Passwortregeln in den Profilparametern und in der Customizing-Tabelle PRNG_CUST. Damit die zugeordnete Sicherheitsrichtlinien berücksichtigt werden, müssen Sie gegebenenfalls die Korrektur einspielen, die mit dem SAP-Hinweis 1890833 ausgeliefert wird. Denken Sie daran, dass der Benutzer durch den Funktionsbaustein BAPI_USER_CHANGE nicht automatisch entsperrt wird. Sie müssen den Benutzer im Falle einer Sperre durch Falschanmeldungen noch mithilfe des BAPIs BAPI_USER_UNLOCK entsperren.
Anwendungsberechtigungen
Pflegen Sie die Werte nicht oder setzen Sie sie auf einen anderen Wert als YES, werden die Rollenmenüs des Referenzbenutzers beim Aufbau des Benutzermenüs nicht berücksichtigt. Die beiden Schalter gelten systemweit; eine mandantenspezifische Ausprägung ist daher nicht möglich. Haben Sie beide Schalter auf YES gesetzt, können Sie an den Einträgen des Benutzermenüs nicht mehr erkennen, ob sie aus den Rollenmenüs des Referenzbenutzers oder des Benutzers selbst stammen. Referenzbenutzer haben noch einen weiteren Vorteil: Sie können sie auch für die Vererbung des vertraglichen Benutzertyps einsetzen. Ein Benutzer erbt die Klassifizierung des Referenzbenutzers, wenn er keine weiteren Rollen- oder Profilzuordnungen mit Klassifizierung hat, oder nicht manuell klassifiziert wurde.
Das ABAP-Berechtigungskonzept schützt Transaktionen, Programme und Services in SAP-Systemen vor unberechtigtem Zugriff. Auf der Grundlage des Berechtigungskonzepts vergibt der Administrator den Benutzern Berechtigungen, die festlegen, welche Aktionen ein Benutzer im SAP-System ausführen darf, nachdem er sich am System angemeldet hat und authentifiziert wurde.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Abschließend geht er wieder alle Rollen durch, die eine Ausprägung zu dem Feld enthalten.
Besonders in Systemlandschaften, die schon lange in Betrieb sind, finden sich historisch gewachsene Berechtigungsstrukturen.